拿起手机一看,哎呦!久违的陈主任。
我赶紧按了接听,一个“喂”字还没吐出来,就被那边急促的声音打断。
“强子!强子!强子!我有重要的事情跟你说!”陈主任的声带似乎上了发条,语气听起来非常着急。
“哟,陈主任,这么急找我,是不是上次超融合的预算批下来了?”
“被……被勒索了……”
哎,我就纳了闷了,戴尔易安信什么时候发展了解决勒索问题的业务呢?
“陈主任,我非常同情你的遭遇,遇到这种情况,我有两个解决方案。
1.接到电话后,果断挂掉,并将此号码标记为“骚扰电话”(我经常是这么做的);2.如果情节恶劣,请直接拨打“妖妖零”。
“不,不是我,是我兄弟公司,被勒索病毒攻击了,现在所有业务都瘫痪了!”陈主任抬高音调。
真有此事?我赶紧问道:“我记得您说过,这家兄弟公司虚拟化程度挺高,大概有600-700台虚拟机。”
“是的,这个问题很棘手,现在他们也在想办法解决,不行的话,就只能交巨额勒索金了,但很可能是于事无补。而且我估计这勒索不止一波,万一其他兄弟公司被感染上就不妙了,得提前做好预防,你们戴尔易安信不是在数据保护方面有很多成功的解决方案吗。”
陈主任的话让我沉思了一会,望着窗外的深圳蓝,只见天空飘来五个字:
“那都不叫事”。
其实,我脑海飞过的九个字是——
“VMware NSX”
传统的防火墙一般放在数据中心出口处,控制数据中心对外的网络通信。
边界防火墙(Perimeter Firewall)虽然能够很好地控制来自于外部的攻击风险,但是对于数据中心内部的黑客攻击却没有任何的防范措施。就像我们一般都只在小区门口配有保安,但是并不能防止小区内部的住客作案。
恶意软件往往专挑企业内部不重要的系统下手,因为这类系统优先等级低,安全防护措施弱,相对容易被攻破,得手后再从数据中心内部攻击其他系统就方便多了。
防火墙位于数据中心边界
在数据安全方面,很多企业都采用零信任(Zero Trust)机制,假设安全威胁无处不在,即使是在数据中心内部;企业自己的员工也是不可信任的,要尽量限制每个人需要访问的系统和数据,所以理想情况是在数据中心内部也部署防火墙,从而有效保护每一个系统和应用。
要达到这个效果,需要为每个系统都配上防火墙,但是这样做成本很高。就像要求小区物业为每一位业主都配备一位专职保安,你愿意承担多出来的那部分成本吗?所以实际上不可能这么做。
分布式防火墙可以解决这个问题。
采用软件就可以以较低的成本实现分布式防火墙,这种软件防火墙存在于每一台物理服务器的 Hypervisor 内核中,能够对每一台虚机的网络通讯进行控制,对虚机实现全面的安全保护。
传统的边界防火墙能够比较好地监控南北向流量,虽然也可以用于监控东西向流量,但是会降低数据中心内部的网络通信效率。
在下图的例子中,即使是位于同一台物理服务器上的两个虚机,它们之间通信时,网络数据包需要走出机柜,去边界防火墙上绕一圈以后才能到达另一台虚机,经过的网络路由多达 6 跳。
物理服务器之间的通信也是如此。在右边图中,虽然这两台服务器连接在同一个交换机上,但是它们之间的网络通信还是要通过机柜外部的边界防火墙,网络路由也有 6 跳之多。
解决方案就是,NSX 网络虚拟化方案。通过分布式防火墙来管理东西向流量,因为是完全基于软件的虚拟防火墙,可以给每一台虚机都配备一台防火墙,同时做到每一道防火墙不同的策略,提高了黑客、病毒攻破防火墙的难度。
虽然防火墙是分布式的,但是它们的管理是集中的,通过统一的管理界面来管理所有的虚拟防火墙,集中配置所有防火墙的安全规则,所以管理上也很简便。
同样的例子,同一台物理服务器上的两台虚机,它们之间的网络通信就可以就近由虚拟防火墙来处理,网络数据包甚至都不需要出物理服务器,就可以直接通过虚拟交换机传送到目的地。
位于不同服务器的虚机之间,网络数据包也可以通过机柜内部的交换机和内部的虚拟防火墙来传输,网络路由从 6 跳降低到了 2 跳,网络传输效率大大提高,也有效降低了边界防火墙的工作负载。
NSX提升防火墙效率
介绍完NSX后,我对陈主任说道:“多道防火墙+简易操作+完整的生态系统,NSX为虚拟生产提供全面保护,这样您就可以高枕无忧了。”
陈主任:“NSX的分布式防火墙挺适合我们虚拟化环境的需求,但NSX对物理交换机有要求么?我们现在主要用的是xx牌交换机。”
我呵呵一笑:“只要您的交换机支持MTU 1600就可以,而且NSX弱化了对物理交换机的品牌以及功能要求,未来网络规划会更加灵活。我们戴尔易安信就有支持NSX的网络产品,以后您只需要一个电话就可以解决服务器、网络和存储的问题,多方便呀。另外NSX的功能不止于此……”
陈主任:“这样,你明天到我这里,给我好好讲讲NSX的其他功能,我现在还要看看兄弟公司勒索问题解决了没,得提前做好规划,避免勒索事件再次发生。”
我赶紧接茬道:“对,预防胜于治疗,光有防还不够,我们还要做好备份,对此戴尔易安信有DP4400+DD3300的虚拟化备份方案。”
嘟嘟嘟……(电话断了)
看陈主任急的,等我明天去他那里,再给他好好讲讲NSX、交换机和备份方案的事情。